Depuis des années, certains défenseurs et défenseurs de la cybersécurité réclament une sorte de Convention de Genève sur la cyberguerre, de nouvelles lois internationales qui créeraient des conséquences claires pour quiconque piraterait des infrastructures civiles critiques, comme les réseaux électriques, les banques et les hôpitaux. Aujourd’hui, le procureur principal de la Cour pénale internationale de La Haye a clairement indiqué qu’il avait l’intention d’imposer ces conséquences – aucune nouvelle Convention de Genève n’est requise. Au lieu de cela, il a explicitement déclaré pour la première fois que La Haye enquêterait et poursuivrait tout crime de piratage informatique violant le droit international en vigueur, tout comme elle le fait pour les crimes de guerre commis dans le monde physique.
Dans un article peu remarqué publié le mois dernier dans la publication trimestrielle Foreign Policy Analytics, le procureur principal de la Cour pénale internationale, Karim Khan, a précisé ce nouvel engagement : Son bureau enquêtera sur les cybercrimes qui violent potentiellement le Statut de Rome, le traité qui définit le le pouvoir du tribunal de poursuivre les actes illégaux, notamment les crimes de guerre, les crimes contre l’humanité et le génocide.
« La cyberguerre ne se déroule pas de manière abstraite. Au contraire, cela peut avoir un impact profond sur la vie des gens », écrit Khan. « Les tentatives d’impacter des infrastructures critiques telles que des installations médicales ou des systèmes de contrôle pour la production d’électricité peuvent avoir des conséquences immédiates pour beaucoup, en particulier pour les plus vulnérables. Par conséquent, dans le cadre de ses enquêtes, mon Bureau recueillera et examinera les preuves d’une telle conduite.
Lorsque WIRED a contacté la Cour pénale internationale, un porte-parole du bureau du procureur a confirmé que telle était désormais la position officielle du bureau. « Le Bureau considère que, dans des circonstances appropriées, une conduite dans le cyberespace peut potentiellement constituer des crimes de guerre, des crimes contre l’humanité, un génocide et/ou un crime d’agression », écrit le porte-parole, « et qu’une telle conduite peut potentiellement faire l’objet de poursuites devant le tribunal. Tribunal où l’affaire est suffisamment grave.
Ni l’article de Khan ni la déclaration de son bureau à WIRED ne mentionnent la Russie ou l’Ukraine. Mais la nouvelle déclaration de l’intention du procureur de la CPI d’enquêter et de poursuivre les crimes de piratage informatique intervient au milieu d’une attention internationale croissante portée aux cyberattaques russes ciblant l’Ukraine avant et après son invasion totale de son voisin au début de 2022. En mars de l’année dernière, le Centre des droits de l’homme de la faculté de droit de l’Université de Berkeley a envoyé une demande officielle au bureau du procureur de la CPI, l’exhortant à envisager des poursuites pour crimes de guerre contre les pirates informatiques russes pour leurs cyberattaques en Ukraine, même si les procureurs continuaient de rassembler des preuves de crimes de guerre physiques plus traditionnels. que la Russie a mené à bien lors de son invasion.
Dans la demande du Centre des droits de l’homme de Berkeley, officiellement connue sous le nom de document au titre de l’article 15, le Centre des droits de l’homme s’est concentré sur les cyberattaques menées par un groupe russe connu sous le nom de Sandworm, une unité au sein de l’agence de renseignement militaire russe GRU. Depuis 2014, le GRU et Sandworm, en particulier, ont mené une série d’attaques de cyberguerre contre des infrastructures civiles critiques en Ukraine, au-delà de tout ce qui a été vu dans l’histoire d’Internet. Leurs piratages éhontés vont du ciblage des services publics d’électricité ukrainiens au déclenchement des deux seules pannes d’électricité jamais causées par des cyberattaques, en passant par la diffusion du logiciel malveillant NotPetya, destructeur de données, qui s’est propagé de l’Ukraine au reste du monde et a infligé plus de 10 milliards de dollars de dégâts, notamment aux réseaux hospitaliers en Ukraine et aux États-Unis.
Bien que la soumission du groupe de Berkeley se soit initialement concentrée sur les attaques de Sandworm en 2015 et 2016 contre le réseau électrique ukrainien comme exemple le plus clair de cyberattaques ayant des effets physiques comparables à ceux d’une guerre traditionnelle, elle a ensuite élargi son argument pour inclure la cyberattaque NotPetya de Sandworm, ainsi qu’une troisième tentative. par des pirates informatiques pour saboter le réseau électrique ukrainien et une autre cyberattaque contre le réseau de modems satellite Viasat utilisé par l’armée ukrainienne, qui a provoqué des pannes de modems satellites dans toute l’Europe.